editcap -A и -B: какой часовой пояс мне использовать?

Question

Мне нужно извлечь пакеты в определенные промежутки времени из большого pcap. И я нашел, что опции edit-cap -A и -B идеально подходят для этой задачи, за исключением того, что мои целевые диапазоны времени находятся в эпоху времени, а -A / B требует времени в формате ГГГГ-ММ-ДД ЧЧ: ММ: СС.

Мой вопрос: когда я конвертирую время эпохи в ГГГГ-ММ-ДД ЧЧ: ММ: СС, какой часовой пояс мне следует использовать? (Я не уверен, что это уместно, но большой pcap, который я использую, представляет собой слияние меньших pcap, захваченных из разных часовых поясов).

Я пробовал tshark, который позволяет выполнять фильтрацию на основе времени эпохи (frame.time_epoch> =X) но tshark кажется дорогостоящим и постоянно убитым используемым мной сервером Ubuntu.

Буду признателен за любую помощь!

Answer 1

Используйте время вашей системы.

100% правильно. Время анализируется и затем подается в процедуру (mtkime()), которая преобразует значение года / месяца / дня / часа / минуты / секунды в местное время в часовом поясе машины в время POSIX («Время эпохи», где«Epoch» - это UN * X / POSIX Epoch 1970-01-01 (00:00:00 UTC).

Прав ли я, что метки времени захвата хранятся как внутренние времена в pcap для внутреннего использования

Да.

и, таким образом, как только системное время, которое я передаю в editcap, преобразуется во время эпохи, editcap может извлекать нужные пакеты независимо от того, в каком часовом поясе захвачены пакетыот?

Да.